Falsche Konfiguration ist das Sicherheitsproblem von Microsofts (Börse Frankfurt: MSF) .Net, sagt der Hacker und Senior Sicherheitsberater für digitale Abwehr, H.D. Moore auf der Cansecwest Security Konferenz. So könne das .Net-Gerüst fast jedem sonst bekannten Sicherheitsproblem von Microsoft-Produkten trotzen, doch die Server-Software sei einfach zu leicht falsch zu konfigurieren, besonders seitdem viele der Dokumentationen unsicheres Programmieren lehren würden.
„Es macht keinen Unterschied, wie sicher die Produkte ursprünglich sind, sondern vielmehr, wie man diese programmiert“, sagte Moore. „Den Entwicklern wird beigebracht, in vielen Situationen falsche Sachen zu tun.“
Der Hacker hatte einige Sicherheitslöcher in diversen Komponenten des .Net-Gerüsts gefunden, doch seine Hauptkritik galt den Autoren der Dokumentation von Microsoft. „Die meisten Hilfsmittel für Entwickler sind falsch“, schrieb der Sicherheitsberater in seiner Präsentation, und zählte dabei die fünf bekanntesten ASP.Net-Bücher auf. So hätte jede dieser Publikationen mindestens eines von vielen bekannten Sicherheitsproblemen von .Net nicht berücksichtigt.
So rate beispielsweise Microsofts Developer Network-Dokumentation den Entwicklern eine Datei mit den User-Passwörtern zu generieren und diese an einen vom Web zugänglichen Platz zu legen. Das sei jedoch ein absolutes Sicherheitsfaul.
Vertreter von Microsoft, die nicht zur Konferenz anwesend waren, wollten das Thema überprüfen, wie es hieß. „Das Produkt ist jetzt seit rund vier Monaten auf dem Markt“, sagte der Produktmanager für das .Net-Framework, Mike Kass. Die Dokumentation sei von der Entwicklergemeinde bisher sehr gut aufgenommen worden. Doch wenn es ein Problem gäbe, würde man sich darum kümmern.
Rund zwei Monate nach Veröffentlichung des „.Net Frameworks“ von Microsoft war schon das erste .Net Framework Service Pack 1 auf den Markt präsentiert worden (ZDNet berichtete). Das 1,4 MByte große Softwarepaket besteht laut dem Unternehmen aus vier Patches, die vor allem Sicherheitsprobleme der Version 1.0 von .Net lösen sollen. Entwickler sollen das Paket über MSDN downloaden, können.
Kontakt:
Microsoft, Tel.: 089/31760 (günstigsten Tarif anzeigen)
Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.
Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.
Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…